| |
| |
|
| - page 1 - |
|
Frank
Abbing | un kleines Tool de mir sur API-Hooking la base. dans einer Listbox volonté alle Dlls aufgelistest, qui justement de Programmen geladen wurden.
simple Exe starten et ensuite irgendwelche Programme starten. en Dlls devrait maintenant gelistet volonté et es pieps kurz.
s'il te plaît testet la fois, si es encore irgendwo hakt. |
|
| |
| |
| |
|
| |
| |
| - page 2 - |
|
|
Frank
Abbing | fais je oui, tout autor haut es plan pas hin. Pour 2000 existieren alors seulement 3 Trampolin-Bytes, sous XP sommes es 5. tout autor crashed es beim Rücksprung dans qui originale Routine.
Entweder berücksichtige je maintenant qui jeweilige NT-Version, ou bien je baue qui API komplett dans meinen Code un. qui zweite Possibilité ist flexibler. |
|
| |
| |
| |
|
|
Frank
Abbing | | cet neue Version devrait aussi avec 2000 marcher. Testen konnte je es mais pas. |
|
| |
| |
| |
|
|
| Frank Abbing
fais je oui, tout autor haut es plan pas hin. Pour 2000 existieren alors seulement 3 Trampolin-Bytes, sous XP sommes es 5. tout autor crashed es beim Rücksprung dans qui originale Routine.
Entweder berücksichtige je maintenant qui jeweilige NT-Version, ou bien je baue qui API komplett dans meinen Code un. qui zweite Possibilité ist flexibler.
allô Frank...
la fois un paire Gedanken:
pourquoi berücksichtigst du pas qui Opcodes? So viele sommes cela doch pas. Manche avons plan seulement un Byte, autre dagegen sogar 6 (si une Adresse angesprungen wird):
alors: Festellen, wohin gültiger Opcode endet.
pourquoi kopierst du ensuite pas den (gültigen) Opcode aus qui DLL et springst ihn ensuite simple à? Du müssest seulement regarder, dass qui Stack wieder passt. à cela Ende des kopierten Opcodes écris du wieder den Opcode einer weiteren Call Anweisung.
aussi dans qui API muss ensuite mais qui Stack wieder angepasst volonté (exposition la fois chez QEditor, Opcodes, RET et CALL).
PS: Testergebnis folgt encore. |
|
| |
| |
| |
|
|
| allô Frank...
malheureusement sous Windows2000 encore cela selbe Problem:
la première DLL wird angezeigt, après verabschiedet sich cela gehookte Programme avec Fehlermeldung.
comme je mir Shatter angesehen habe, habe je assez viel avec API rumgefuscht. cela quoi là passiert, venez mir très bekannt avant - là sscheint quelque chose avec dem Stack pas plus trop stimmen et qui API holt sich une Pointer vom Stack, qui pas sur une gültige Adresse verweist. exposition la fois pour, si là peut-être irgendwo quelque chose (peut-être avec Call) sur den Stack geschoben wird, quoi là avant dem Effectuer qui restlichen API seulement wieder runtergenommen volonté muss. XP validiert solche Pointer scheinbar ( fonctionne oui aussi stabiler), 2000 reagiert toujours avec Absturz - seulement so une Vermutung par mon précédent Basteleien. |
|
| |
| |
| |
|
|
Frank
Abbing | eh, hab un Byte dezimal ausgewertet, anstatt hexadezimal...
Im Anhang qui neue Version, qui maintenant hoffentlich fonctionne.
pourquoi berücksichtigst du pas qui Opcodes? So viele sommes cela doch pas. Manche avons plan seulement un Byte, autre dagegen sogar 6 (si une Adresse angesprungen wird):
alors: Festellen, wohin gültiger Opcode endet.
j'écris une Jmp-Befehl à den Anfang qui API, qui dans Ma routine springt. qui überschriebenen Bytes/Opcodes arbeite je ensuite am Anfang meiner Routine là. cela Problem était, cela 2000 et XP verschiedene Anfänge besitzen. MS fördert API-Hooking ab WindowsXP et hat deswegen alle APIs so modifiziert (cela sinnlose MOV EDI,EDI eingefügt) , dass qui ersten 5 Bytes eh bien léger par une Jmp ersetzt volonté peut. Später springe je wieder derrière den Jmp-Befehl et lasse qui API normal weiterlaufen. c'est qui chez Hackern übliche technologie, qui sich Trampolin nennt (plan aller et retour springen).
Anstelle eines Jumps peux aussi un PUSH sprungaddr / RETN benutzt volonté. cet technologie besitzt mais un 6 bytes grosses Trampolin.
cet Methode peux du aussi léger benutzen, um nachzuprüfen, si une API gehookt ou non. Ist cela erste ausgelesene Byte qui API pas $55 et pas $8B, ist qui API avec Sicherheit Inline-gehooked. |
 |
| |
| |
| |
|
|
| allô Frank...
Interessante Infos! exposition dir s'il te plaît fois le API AreFileApisAnsi aus qui Kernel32 à.
Ist cela erste ausgelesene Byte qui API pas $55 et pas $8B, ist qui API avec Sicherheit Inline-gehooked.
je denke la fois, je serait peut-être. quelque chose hinbekommen, quoi sur allen Systemen et chez allen APIs fonctionne. si je la fois entier grand Lust habe, mets je mich là peut-être aussi la fois tour. |
|
| |
| |
| |
|
|
| allô Frank, allez maintenant aussi sous Windows2000. Hatte seulement un Problem avec dem Profan Editor, cela liegt mais wohl pas à dir. 
très intéressant, quoi Windows là pouvoir! Schaue je mir encore näher à. |
|
| |
| |
| |
|
|
Frank
Abbing | Super! sous Vue funktioniert es également, cela hat Rolf vorhin getestet. Vue hat qui gleichen Dll-Startcodes comment XP.
maintenant peux je Sinnvolles programmieren, après que qui cadre eh bien steht.  |
|
| |
| |
| |
|
|
Dieter
Zornow | je denke dein Tool ist aussi périlleux, j'ai oui cela Problem, dass chez mir toujours
seulement qui psapi.dll angezeigt wird sonst rien. qui Dll ist une Microsoft DLL et kam avec SP2 vous wird sous anderem de Explorer et meinem Virenprogramm geladen.
Beim Testen deiner letzten Version hat mon Firewall gemeldet, dass mon Virenprogramm finissez volonté muss, là grenier überschrieben wurde. Ist alors pas entier ungefährlich qui l'affaire. je denke dass mon Problem avec dem Virenscanner et qui Firewall zusammen hängt.
Virenscanner Antivir, Firewall Outpost
Salut
Dieter |
|
| |
| Er ist ein Mann wie ein Baum. Sie nennen ihn Bonsai., Win 7 32 bit und Win 7 64 bit, mit XProfan X2 | 25.03.2007 ▲ |
|
| |
|
|
Frank
Abbing | Dieter, peut-être hookt un d'autre Programme également dans deinem System. Könnte son, dass du une Trojaner eingefangen la hâte?
AntiVir ist oui eh bien pas sonderlich sûrement. j'étais pas zufrieden avec cela, après que es plusieurs fois Trojaner chez mir durchgelassen hat et mon System allgemein aussi belastete.
je benutze seulement encore Avast, cela bemerkt on gar pas et jusqu'alors ist encore rien durchgekommen. |
|
| |
| |
| |
|
|
| allô Dieter...
maintenant wirds intéressant! quoi sagt dein System trop ProcessHider sur meiner Page d'accueil? Bidde bidde la fois testen!
d'abord mais la fois avec ProcHunter regarder, si là peut-être doch un Trojaner (RootKit) son Unwesen treibt. |
|
| |
| |
| |
|
|
Dieter
Zornow | allô Frank,
j'ai mon System eh bien avec einigen Racine Kit Scannern getestet, aucun hat quelque chose
trouvé. il y a seulement encore den Treiber meiner Firewall qui 2 Fubktionen hooked.
cela Verhalten avec deinem Tool ist aussi reproduzierbar. Du überschreibst par deine Hooks une Speicherbereich et si là justement un Programme ist ou bien cette benutzt, stürzt es ab c'est pourquoi denke je pas ungefährlich cela ganze.
@Andeas,
j'ai deinen Process-Hider la fois probiert, soweit je es beurteilen peux fonctionne alles
normal. Mir ist seulement aufgefallen, si je une entier normale Anwendung verstecke
ist vous seulement deinem Tool unsichtbar aussi pour refresh. qui Taskmanager zeigt vous plus entier normal sous Anwendungen à.
j'ai aussi Prochunter ausprobiert, il zeigt aucun caché Processe. seulement si
je Native ID abhake volonté rote Einträge trouvé, là mais seulement qui ID et aucun
Namen angezeigt volonté, aussi pas dans qui Editbox, peux je vous pas zuordnen. j'ai mir quelques Rootkit Scanner aus dem Internet gezogen, qui meisten chercher aussi
pour Hooks
Salut
Dieter |
|
| |
| Er ist ein Mann wie ein Baum. Sie nennen ihn Bonsai., Win 7 32 bit und Win 7 64 bit, mit XProfan X2 | 25.03.2007 ▲ |
|
| |
|
(510)
Deutsch
English
Français
Español
Italia